19.4 % 1000 suosituimmasta Docker-säilöstä sisältää tyhjän root-salasanan
Jerry Gamblin päätti selvittää, kuinka laajalle äskettäin tunnistettu ongelma Alpine-jakelun Docker-kuvissa, jotka liittyvät pääkäyttäjän tyhjän salasanan määrittämiseen. Analyysi tuhansista Docker Hub -luettelon suosituimmista konteista hän osoitti, mitä sisällä 194 näistä (19.4 %) pääkäyttäjälle asetetaan tyhjä salasana ilman tilin lukitsemista ("root:::0:::::" "root:!::0:::::" sijaan).
Jos säilö käyttää shadow- ja linux-pam-paketteja, käytä tyhjää pääkäyttäjän salasanaa sen avulla laajenna oikeuksiasi säilön sisällä, jos sinulla on oikeudeton käyttöoikeus säilöön tai jos olet hyödyntänyt säilössä olevan palvelun, jolla ei ole etuoikeuksia, haavoittuvuutta. Voit myös muodostaa yhteyden konttiin pääkäyttäjän oikeuksin, jos sinulla on pääsy infrastruktuuriin, ts. kyky muodostaa yhteys päätteen kautta /etc/securetty-luettelossa määritettyyn TTY:hen. Kirjautuminen tyhjällä salasanalla estetään SSH:n kautta.